如今，企業嚴重依賴數據，其中很大一部分數據由敏感信息組成。隨著組織成為越來越敏感信息的保管人，數據泄露的頻率也相應增加。在某些情況下，數據泄露的起源是在組織之外，黑客通過破壞帳戶成功逃避組織; 而在其他情況下，數據泄露涉及內部參與者，打算損害組織并可能擁有合法憑據的惡意員工或承包商。

[[252630]]

根據2018年的Verizon數據泄露調查報告中，涉及數據泄露的最重要資產是數據庫服務器(見圖1)。這并不奇怪，因為大量的敏感數據存儲在數據庫中，這就是數據庫安全性如此重要的原因。

問題是，更現實的目標不是試圖阻止數據泄露，而是在早期發現漏洞。早期違規檢測比違規預防更實用的原因通常是，惡意用戶已經在組織內部，濫用其訪問敏感數據的合法權限。為了快速檢測潛在的數據泄露，我們需要能夠識別違規的“早期跡象”。另一種方法是嘗試檢測數據泄露數月甚至數年。

早在2011年，洛克希德·馬丁就將“網絡殺傷鏈”定義為識別和預防網絡入侵攻擊的模型。它定義了攻擊者在典型的網絡攻擊中采取的步驟(圖2)。

網絡殺傷鏈的七個步驟如下：

• 偵察 - 獲取盡可能多的有關目標的信息，選擇目標。
• 武器化 - 選擇最適合該任務的工具。
• 交付 - 在目標上使用武器化捆綁發起攻擊。
• 利用漏洞 - 利用漏洞在受害者系統中執行代碼。
• 安裝 - 安裝工具接入點。
• 命令和控制(C&C) - 啟用發送遠程命令以持久訪問目標網絡。
• 目標行動 - 采取行動。例如：數據銷毀，滲透或加密。

我們已經調整了網絡殺戮鏈以專門針對數據泄露事件，提供了攻擊者已經在組織內部擁有訪問權限的實例(圖3)。

被招募或意外感染，被外部黑客攻陷 ，攻擊者繼續進行偵察階段; 這個階段類似于原始網絡殺戮鏈中的偵察階段，其目標是盡可能多地獲取有關數據或資產的信息。在選擇目標并獲取足夠的信息后，在開發階段。攻擊者將嘗試獲取對數據的訪問權限。這可以通過升級其特權來實現。授予訪問權限后，攻擊者將嘗試獲取敏感數據。此階段可以是大型文件下載或對敏感數據的特定訪問。最后一步是從組織中提取數據。

保護數據庫中的數據：縱深防御

深度防御原則是分層安全性可以改善您的整體安全狀況。如果攻擊導致一個安全機制失敗，則其他機制仍可提供保護系統所需的安全性。

為了更好地保護數據庫中的數據，您需要在潛在攻擊鏈的每一步識別可疑活動。這樣，如果我們未能在特定步驟檢測到攻擊，我們仍有機會在以下步驟中捕獲它。最好盡早發現攻擊，最好是在惡意或受到攻擊的個人獲取數據訪問權之前。

[[252631]]

偵察階段：可疑系統表掃描

系統表存儲數據庫的元數據。這些表包含有關所有對象，數據類型，約束，配置選項，可用資源，有效用戶及其權限的信息等信息。我們希望攻擊者在攻擊的偵察階段訪問系統表，以便探索組織中的數據庫，甚至更改數據庫權限。使用系統表訪問檢測偵察攻擊的挑戰是最少量的誤報警，其依賴于合法用戶定期訪問系統表以執行其臨時任務。

為了成功執行此任務，我們將機器學習邏輯與領域知識相結合，并將大量源和提示相關聯，以形成整體畫面。區分對敏感系統表的訪問和對非敏感系統表的訪問。

利用大量的性能分析周期來研究不同類系統表的日常訪問模式(如圖4所示)。這些周期包括：

• 用戶正常活動 - 了解用戶通常如何操作和訪問系統表;
• 數據庫正常活動 - 了解組織內的用戶如何訪問特定數據庫中的系統表;
• 組織正常活動 - 了解在整個域中訪問敏感系統表的方式;
• 社區正常活動 - 使用來自不同客戶的系統表訪問模式的數據，以了解全局正常系統表活動。

我們還利用其他提示來識別對敏感表的合法訪問，將合法用戶(如DBA)與攻擊者分開。通過分析他們嘗試訪問系統表的數據庫數量，在同一時間范圍內組織中數據庫失敗的登錄次數等來識別惡意用戶。

我們可以看到攻擊者在攻擊當天訪問了幾個數據庫中的新系統表。將這些信息與他們在攻擊當天也無法登錄某些數據庫的事實相結合，表明存在可疑活動。

攻擊者將繼續嘗試從組織中竊取敏感數據，這是一個給定的。我們的目標是在任何實際的傷害或任何敏感數據暴露之前盡早發現潛在的漏洞。發現可疑的系統表訪問是在偵察階段捕獲攻擊者的關鍵步驟，他們仍然試圖找到他們的方式。如果在偵察階段未檢測到攻擊，仍然可以識別數據泄露攻擊鏈中的異常，使用深度防御方法。借助領域知識專業知識和機器學習算法，此方法允許您在數據泄露的所有階段檢測威脅。